1. 上传恶意脚本文件到服务器中，通过访问该恶意文件从而执行文件中的恶意代码。 2. 攻击者可利用目录跳转上传 php、config 等文件，覆盖原有的系统文件，到达篡改系统文件、甚至获取系统权限的目的。 3. 攻击者可上传 html、shtm 等文件，并写入非法博彩、赌博等恶意 SEO 页面或者写入恶意 js 文件进行钓鱼来非法获取用户信息等。